Forschende von Noma Security haben die Angriffstechnik GitLost demonstriert, mit der sich Inhalte privater Repositories einer Organisation über die Funktion GitHub Agentic Workflows auslesen lassen. Für den Angriff genügt es, ein normales Issue in einem öffentlichen Repository zu erstellen – ohne gestohlene Zugangsdaten und ohne jeglichen Zugriff auf die Organisation. Ist der AI-Agent mit Lesezugriff auf private Repositories konfiguriert, kann ein Angreifer ihn dazu bringen, vertrauliche Daten in einem öffentlichen Kommentar zu veröffentlichen. Organisationen, die die Preview-Version von Agentic Workflows einsetzen, sollten den Geltungsbereich der Agenten-Tokens umgehend auf ein einziges Repository beschränken.
Angriffsmechanismus
GitHub Agentic Workflows ist eine Funktion, die im Februar 2026 im Rahmen einer öffentlichen Technical Preview gestartet wurde. Anstatt Automatisierungsskripte zu schreiben, beschreibt der Benutzer die Anweisungen für den AI-Agenten in natürlicher Sprache in einer Markdown-Datei. Der Agent liest selbstständig Issues und Pull Requests, führt Tools aus und veröffentlicht Antworten. Als Engine können GitHub Copilot, Anthropic Claude, Google Gemini oder OpenAI Codex verwendet werden.
Standardmäßig laufen die Workflows im „Read-only“-Modus, doch eine Organisation kann dem Agenten ein personal access token mit Lesezugriff auf alle Repositories, einschließlich privater, geben. Genau diese Konfiguration nutzt GitLost aus.
Der Angriff basiert auf einer indirekten Prompt Injection (indirect prompt injection) – der AI-Agent ist nicht in der Lage, zuverlässig zwischen Anweisungen des Eigentümers und in den verarbeiteten Inhalt eingeschleusten Anweisungen zu unterscheiden. Laut den Forschenden war in der PoC-Demonstration das bösartige Issue als Routineanfrage eines Vizepräsidenten für Vertrieb nach einem Kundentermin getarnt. Der Workflow war so konfiguriert, dass er beim Zuweisen des Issues ausgelöst wird, dessen Inhalt liest und eine Antwort als Kommentar veröffentlicht. Nach der automatischen Zuweisung las der Agent die README aus einem privaten Repository aus und fügte deren Inhalt in einen öffentlichen Kommentar ein.
Umgehung der Schutzmechanismen
GitHub hat Schutzmaßnahmen genau gegen diese Klasse von Angriffen vorgesehen. Laut der offiziellen Dokumentation warnt die Plattform, dass „AI-Agents durch Prompt Injection, bösartige Repository-Inhalte oder kompromittierte Tools manipulierbar sein können“. Das Produkt umfasst eine Sandbox, standardmäßig nur Lese-Tokens, eine Säuberung der Eingabedaten sowie eine Threat-Detection-Stufe, die die Ausgaben des Agenten vor der Veröffentlichung scannt.
Dennoch berichten die Forschenden von Noma, dass es zur Umgehung des Schutzes genügte, ein einziges Wort – „Additionally“ – vor die bösartige Anweisung zu setzen. Das Modell interpretierte diese als Fortsetzung der Aufgabe statt als verdächtige Anweisung, und der Schutzfilter ließ die Ausgabe passieren. Es ist zu beachten, dass genau dieser Bypass bislang nur von den Noma-Forschenden selbst bestätigt wurde und noch nicht unabhängig reproduziert werden konnte.
Warum sich dieser Angriff grundlegend unterscheidet
Nach Angaben von Саси Леви, Leiter der Sicherheitsforschung bei Noma Security, besteht der entscheidende Unterschied von GitLost zu früheren Beispielen von Prompt Injections darin, dass der Angriff nicht manipuliert, was der Agent sagt, sondern was der Agent mit seinen Berechtigungen tut. Der Agent ist in diesem Fall kein Chatfenster, sondern ein authentifizierter Akteur innerhalb der Infrastruktur der Organisation mit Leserechten für Repositories, auf die der Angreifer keinen Zugriff hat.
Diese Konfiguration entspricht dem Modell, das der Forscher Simon Willison als „lethale Triade“ bezeichnet hat: Der Agent hat Zugriff auf private Daten, nimmt ungeprüfte externe Eingaben entgegen und verfügt über einen Kanal, um Daten nach außen auszugeben. Das Zusammenfallen aller drei Bedingungen öffnet den Weg für Datenabfluss.
Kontext: ein systemisches Problem von AI-Agenten
GitLost ist kein Einzelfall, sondern Teil einer Serie ähnlicher Angriffe auf AI-Agenten im GitHub-Ökosystem. Im Mai 2025 haben Invariant Labs demonstriert, dass ein öffentliches Issue einen an einen MCP-Server von GitHub angebundenen Agenten dazu bringen kann, ein privates Repository zu lesen und Daten über einen Pull Request auszugeben. Die Forschenden beschrieben das Problem als architektonisch bedingt und serverseitig nicht behebbar.
Die herstellerübergreifende Untersuchung Comment and Control zeigte, dass die Agenten Claude Code, Gemini CLI und GitHub Copilot durch den Text von Issues und Pull Requests dazu gebracht werden können, ihre eigenen API-Keys offenzulegen und dabei die von GitHub ergänzten Laufzeitschutzmechanismen zu umgehen.
Леви betont, dass es sich nicht um eine Art von Fehler handelt, der sich mit einem Patch schließen lässt – es ist eine strukturelle Folge davon, AI-Agenten dauerhafte Zugangsdaten zu geben, während sie gleichzeitig Text verarbeiten, auf den ein Angreifer Zugriff hat. In natürlicher Sprache gibt es – anders als etwa in SQL – keine klare Grenze zwischen Daten und Anweisungen, daher muss die Lösung auf der Architektur statt auf Filterung basieren.
Einschätzung der Auswirkungen
Der Wirkungsbereich ist auf Organisationen beschränkt, die gleichzeitig die Preview-Version von Agentic Workflows aktiviert, den Agenten zur Verarbeitung ungeprüfter öffentlicher Eingaben konfiguriert und ihm Leserechte für private Repositories eingeräumt haben. Für solche Organisationen können die potenziellen Folgen jedoch gravierend sein – je nach Geltungsbereich des Tokens kann der Agent proprietären Quellcode, interne Schlüssel, Projektdokumentation oder CI/CD-Secrets offenlegen.
Empfehlungen zum Schutz
- Geltungsbereich des Tokens einschränken: Das im Workflow verwendete personal access token sollte auf genau das eine Repository beschränkt sein, das der Agent bedient, und keinen Zugriff auf Organisationsebene gewähren.
- Ausgabekanäle begrenzen: Minimieren Sie die Veröffentlichungsmöglichkeiten für Workflows, die öffentliche Eingaben verarbeiten – der Kommentar des Agenten ist ein Exfiltrationskanal.
- Autoren filtern: Konfigurieren Sie Einschränkungen dafür, von welchen Autoren der Agent Inhalte zur Verarbeitung akzeptiert.
- Manuelle Prüfung einführen: Schalten Sie vor der Veröffentlichung eine menschliche Freigabe für die Ausgaben des Agenten dazwischen.
- Verlassen Sie sich nicht auf Filter als Sicherheitsgrenze: Die integrierte Threat-Detection-Stufe von GitHub ist eine zusätzliche Verteidigungslinie, aber keine verlässliche Barriere – das zeigt der Bypass mit einem einzigen Wort.
Noma hat GitLost gegenüber GitHub offengelegt und die Ergebnisse mit Wissen des Unternehmens veröffentlicht. Solange sich die Funktion Agentic Workflows in der Preview-Phase befindet, sollten Organisationen, die sie nutzen, vom Prinzip minimaler Privilegien ausgehen: Jeder AI-Agent sollte nur Zugriff auf genau das Repository haben, das er unmittelbar betreut, und jede Ausgabe in den öffentlichen Raum sollte ein manuelles Review durchlaufen.